首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  DNS

大家觉得 DNS 有没有必要走加密的协议呢?

  •  
  •   qw7692336 · 2016-05-01 23:25:33 +08:00 · 4930 次点击
    这是一个创建于 1141 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2016-05-03 13:43:32 +08:00
    我的意思不是自己个人用的 dns ,而是希望 dns 像 http 过渡到 https 那样,成为标准。
    第 2 条附言  ·  2016-05-04 00:38:31 +08:00
    好吧,既然认为防监听不靠谱,那就讨论防篡改吧。。
    http 过渡到 https 除了防监听外,也防篡改。
    24 回复  |  直到 2016-06-30 20:38:50 +08:00
        1
    onice   2016-05-02 09:19:18 +08:00
    DNS 还有加密协议?求科普。。。
        2
    qw7692336   2016-05-02 10:02:19 +08:00 via Android
    @onice 想一种加密策略
        3
    junzki   2016-05-02 10:11:42 +08:00
    DNSCrypt
        4
    qw7692336   2016-05-02 11:44:45 +08:00 via Android
    我指的是通用的那种,让加密成为标准
        5
    Stof   2016-05-02 11:48:42 +08:00
    用户服务双端还是必要走加密的,这个可以参考飞机的运作方式,短时间内适合个人玩玩。

    我觉得需要解决的最大问题依旧是 CDN 最近地址以及验证这两个问题。

    不是单纯的传输,放在 OPENWRT 上似乎有些不适合?
        6
    Aquamarine   2016-05-02 12:07:02 +08:00
    @junzki 很久没更新了吧?
        7
    helihuo   2016-05-02 12:39:58 +08:00
    在不影响速度的前提下很有必要。
    须知你的每个访问,党国都会给你记下来的
        8
    qw7692336   2016-05-02 12:49:06 +08:00 via Android
    @helihuo 要想一个轻量级的加密方案。
        9
    googlebot   2016-05-02 13:32:01 +08:00 via Android   ♥ 1
    目前就 2 种办法,一个 dnscrypt ,这是 opendns 搞得,但 server 端没开源,公开节点很容易封,中国有个强人自己按协议搞了一个 dnscrypt wrapper ,可以在自己 vps 上安装,这个太强了,

    还有一个办法是 ss-tunnel ,安装在 openwrt 上,
        10
    qw7692336   2016-05-02 13:43:21 +08:00 via Android
    就像 HTTP 过渡到 HTTPS 那样
        11
    0xC0000005   2016-05-02 18:15:05 +08:00
    不走加密就等着被污染被欺骗被 ISP 强♂插♂广告吧
        12
    lslqtz   2016-05-03 05:09:07 +08:00 via iPhone
    有必要,而且是非常有必要。
        13
    lixingcong   2016-05-03 09:23:21 +08:00 via Android
    @googlebot 我前几天刚搭建一个 wrapper ,真 TM 好用!不用担心污染了
        14
    hzqim   2016-05-03 13:38:09 +08:00 via Android
    53 端口, UDP 协议,特征太明显,连接不可靠。这点在移动,铁通宽带尤其明显。
    暂时用 TCP 协议+本地缓存可以很好的解决。
        15
    johnjiang85   2016-05-03 14:59:26 +08:00
    标准协议有 DNSSEC ,但是递归不支持的话没用
        16
    BOYPT   2016-05-03 16:14:17 +08:00
    协议过渡就别想了, 50 年内都不一定看得到。如果是做服务开发的可以考虑 http dns
        17
    redsonic   2016-05-03 23:08:27 +08:00
    这其实不是一个技术问题,因为 DNS 是网络内容的入口,如果做成端到端加密意味着访问无法优化,递归会被拖死,一些商业模式也会受到挑战。 DNSSEC 只设计成防篡改但不防侦听就是考虑到这一点,这应该是业内共识。只不过国内现在都玩坏了,催生出这样的一个需求。
        18
    fzss   2016-05-08 05:48:38 +08:00
    @johnjiang85 DNSSEC 并不加密,而是保证 Integrity & Authenticity
        19
    fzss   2016-05-08 05:49:01 +08:00
    @lixingcong 可以分享一下吗
        20
    fzss   2016-05-08 05:51:19 +08:00
    @hzqim 53 端口应该是以前的事情了,现在新的 DNS 协议都是随机借口的,不然的话 off-path attacker 可以用 Kaminsky Attack 来 blind spoofing.
        21
    fzss   2016-05-08 06:08:49 +08:00
    感觉可以看一下这片 paper
        22
    streamgo   2016-05-08 14:31:01 +08:00
    @fzss 同求分享。谢谢!
        23
    missdeer   2016-05-09 20:25:20 +08:00
    有啊, DNS over TLS ,是个标准,已经基本可用了 https://datatracker.ietf.org/doc/draft-ietf-dprive-dns-over-tls/
        24
    lslqtz   2016-06-30 20:38:50 +08:00 via iPhone
    有必要,还有必要使用证书。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1015 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 23:14 · PVG 07:14 · LAX 16:14 · JFK 19:14
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1